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FRAUDE. 

@ La pr^sente invention se rapporte t un proc^dS cryp- 
tographique et un dispositif h puce de protection d'une puce 
eiectronique centre la fraude. 
Le pFoc6d6 consisted 

- k m^langer (1 ) tout ou partie de param^tres d'entrte 
(Em) pour foumir en sortie une donn6e E' = (e'l , e'2 e'n 

e m), 

-a effectuer (2) le changement d'etat d'un automate k 
etats finis en le faisant passer d'un ^tat ancien h un ^tat nou- 
veau en fonction de la donn6e E* = (e'l . e'2 .... e'n e'isi), 

- & caiculer (3) un certificat (S) au moyen d'une fonction 
de sortie ayant pour argument d'entr^e au moins un 6tat de 
I'automate. 

Le dispositif k puce comprend: 

- des moyens de melange, 

- un automate ^ 6tats finis, 

- un moyen de sortie pour caiculer un certificat (S). 
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La pr&ente invention se rapporte au domaine de la cryptographie. En 
particulier, Tinvention se rapporte k un procdde cryptographique de protection centre la 
fraude d'une puce 61ectronique dans des transactions entre une application et la puce. 
Uinvention se rapporte en outre a un dispositif i puce electronique pennettant la mise 
en oeuvre d'un precede cryptographique de protection contre la fraude de la puce 
electronique. 

L'invention trouve une application tr^s avantageuse en ce qu'elle permet de 
prot^ger contre la fraude des puces k circuit int6gr6 k logique cabl6e ou k 
microprocesseur, notamment les puces qui equipent les cartes pr6pay6es utilisees dans 
des transactions diverses telles que Tdtablissement de communications t6I6phoniques, le 
paiement d'objets dans un distributeur automatique, la location d'emplacements de 
stationnement k partir d'un parcm^tre, le paiement d'un service comme un transport 
public ou comme la mise k disposition d'infrastructures (peage, musee, 

4 

biblioth^que,...). 

Actuellement, les cartes pr6pay6es sont susceptibles de subir diff6rents types de 
fraude. Un premier type de fraude consiste k dupliquer sans autorisation la carte, le 
terme clonage 6tant souvent utilis6 pour caractSriser cette operation. Un deuxieme type 
de fraude consiste k modifi^ les donn^es attach6es k une carte, en particulier le montant 
du credit inscrit dans la carte. Pour iutter contre ces fraudes il est fait appel k la 
cryptographie, d'une part pour assurer Fauthentification de la carte au moyen d*une 
authentification et/ou pour assure Tauthentification des donnees au moyen d'une 
signature num^que et, d' autre part pour assurer le cas echeant la confidentialite des 
donn6es au moyen d'un chififrement. La cryptographie met en jeu deux entites, un 
v^rificateur et un objet k verifier, et eUe peut etre soit symetrique, soit asymetrique. 
Lorsqu'elle est sym6trique, les deux entit6s part agent exactement la meme information, 
en particulier une cl6 secrete. Lorsqu'elle est asym6trique une des deux entit& possMe 
une paire de cles dont Tune est secrete et I'autre est publique ; il n'y a pas de cl6 secrete 
partag6e. Dans de nombreux syst&nes, seule la cryptographie symetrique est mise en 
oeuvre avec des cartes prepay6es, car la cryptographie asymetrique reste lente et 
couteuse. Les premiers mecanismes d'authentification d6velopp6s en cryptographie 
sym6trique consistent k calculer une fois pour toutes un certificat, different pour chaque 
carte, k le stocker dans la m6moire de la carte, le lire i chaque transaction et k le 
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Verifier en interrogeant une application du reseau supportant la transaction ou les 
certificats deja attribu& sont soit stock& soit recalcules. Ces m^canismes assurent une 
protection insuflBsante parce que le certificat peut etre espionn^, reproduit et rejou6 
frauduleusement 6tant donne qu'il est toujours le meme pour une carte donn^e, 

5 permettant ainsi de r6aliser un clone de cette carte. Poiu: lutter centre les clones, les 
m6canismes d'authentification passife de cartes sont remplaces par des mecanismes 
d'authentification actifs qui peuvent en outre assurer rint6grit6 des donndes. 

Le principe general des mecanismes d'authentification actife est le suivant : lors 
d'une authmtification, la puce flectronique et I'application calculent un certificat qui est 

10 le resultat d'une fonction appliqu6e h une liste d'arguments detenninee chaque 
authentification ; la liste d'argxunents pouvant comprendre un alea, Talte 6tant une 
donnde d6tennin6e par I'application k chaque authentification, une donn6e contenue 
dans la puce 61ectronique et une cl6 secrete connue de la puce electronique et de 
Tapplication. Lorsque le certificat calcul6 par la puce flectronique est identique au 

15 certificat calcule par TappUcation, la puce electronique est jug6e authentique et la 
transaction entre la puce Electronique et I'application est autorisee. 

De tels mecanismes d'authentification sont largement connus mais la plupart 
exigait des capacity de calcul au moins 6gales k celles dont dispose un 
microprocesseur, Ces mecanismes conviennent done aux cartes a microprocesseur, mais 

20 rarement aux cartes a logique cabl6e, lesquelles disposent de moyens de calcul 
beaucoup plus rudimentaires. La pr&ente invention se rapporte aux mecanismes 
d'authentification symetriques et actife qui peuvent etre mis en oeuvre dans une carte a 
logique cabl6e. 

Un premier de ces mecanismes fait I'objet du brevet FR 89 09734. Le proc^de 
25 decrit consiste k definir une fonction non lin6aire, cette fonction etant connue de 
I'application et implantfe dans une puce Electronique sous la forme d'un circuit cablE. 
Un second de ces mecanismes fait I'objet du brevet FR 95 12144. II s'agit d'un proced6 
de protection des cartes par authentification active inconditionnellement siire, basE sur 
I'utilisation pour un nombre limitE d'authentifications d'une fonction Uneaire assurant 
30 une protection contre le rejeu et une usure controlee de la cl6 secrete. 

Chacun des deux mecanismes prEcedemment cites possede des avantages et des 
inconvEnients sp6cifiques. En ce qui conceme le premier mdcanisme, qui repose sur 
I'hypothese (non prouvable dans TEtat actuel des connaissances) de la securitE 
infonnatique de la fonction non linEaire utilisEe, les trEs fortes contraintes imposEes par 
35 les capacitEs de calculs r6duites des puces a logique cablee n'autorisent pas une marge 
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de s6curit6 aussi large que pour les algorithmes a cle secrete usuels et, de ce fiait la 
divulgation de la specification d&aillte de la fonction non lin6aire utilise peut 
repr&enter un risque. En ce qui conceme le second m6canisme, il possede Tavantage de 
Wneficier d*une s6curit6 prouvable tant que le nombre d'authentifications n'excMe pas 
un certain seuil, et il n'y a done pas de risque li6 k la divulgation de la fonction lindaire 
utilisee mais, par contre la n6cessite de limiter strictement le nombre d'utilisations de la 
fonction d'authentification pour la durte de vie de la puce (ou dans le cas de cartes 
rechargeables, entre deux rechargements) iDh6rente k cette solution peut repr6senter 
une contrainte difficile k satisfaire pour certaines applications. En outre, des attaques 
portant non pas sur les puces k logique cablee mais, sur les modules de s6curit6 utilises 
pour la verification de ces puces et, selon lesquelles un fi-audeur foumirait k des 
modules de verification des r^ponses aleatoires jusqu'a ce quHin nombre suffisant de 
bonnes reponses, obtenues par hasard, lui foumisse le secret associe k un num6ro de 
carte de son choix, peuvent etre plus difficiles k contrer dans le cas du second 
m6canisme. Des combiaaisons de ces deux types de mecanismes permettant de cumuier 
leurs avacitages ont fait I'objet des brevets FR 00 03684 et FR 00 04313. 

Plus pr&isement, le brevet FR 89 09734 d6crit une carte k microcircuit cable 
dans laquelle une fonction cryptographique s6rie est appUqufe k deux op6randes, dont 
Tun est un « mot-cl6 » (par exen^le un alea R foumi par une entite exteme a la carte) 
et Tautre est une « sortie » de la « m&noire interne » de la carte (par exemple une cl6 
secrete K ou une donn6e D Uee i Tapplication). La fonction cryptographique serie est 
realisee par un circuit cable comprmant un operateur logique recevant ledit mot-cie et 
ladite sortie de ladite memoire interne, suivi d*un circuit logique k retard possedant des 
moyens k retard et formant boucle entre les sorties et les entr6es d'adresses d'me 
memoire secrete. La sortie de rop6rateur logique intervient sur les sorties de donnees 
de la memoire secrete pour constituer les nouvelles entrees d'adresses de cette memoire 
secrete. 

Ce precede presente plusieurs inconvenients. 

Un premier inconvenimt vient du fait que le mot-cie et la sortie de la memoire 
interne sont combines selon un simple operateur logique. Plus precisement, les bits du 
mot-cie sont utilises successivement pour constituer le premier operande de Toperateur 
logique et les bits de la sortie de la memoire interne sont utilises successivement pour 
constituer le second operande de cet operateur. Par consequent I'intervention d'un bit 
donne du mot-cie ou d'un bit donne de la sortie de la memoire interne sur le circuit 
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logique k retard se limite exclusivement a Tinstant ou il est present^ en entr6e de 
rop6rateur logique. 

Or, la solidit6 d*une fonction cryptographique repose en partie sur ses qualit6s 
de diffusion, et en particulier sur le feit qu'un bit donne d'un parametre d'mtr6e de cet 

5 algorithme influe sur le plus grand nombre d'etapes possibles de cet algorithme. Ainsi le 
principe de diffusion est insuflBsamment satisfait dans le proc6d6 d6crit dans le brevet 
FR 89 09734, 6tant donn6 que chaque bit de chaque op6rande influe sur une 6tape 
uniquement. II s'ensuit que des manipulations frauduleuses sur ces opftrandes pourraient 
s'en trouver facilities. II s'ensuit aussi que la decouverte de bits supposes rester secrets 

10 (tels que ceux constituant la cl6 secrete K) k partir de Tobservation d'une ou plusieurs 
sorties foumies par ralgorithme, pourrait 6galement s'en trouver facilitee. 

Un deuxi&ne inconvenient vient du fait que I'operateur logique du circuit cabl6 
a comme argument d'entree le mot-cle et la sortie de la memoire interne ce qui interdit k 
I'opdrateur logique de pouvoir combiner la sortie d'une m&noire interne avec la sortie 

15 d'une autre memoire interne. Par exemple, une cle secrete et une donnie d'application 
inscrite dans la puce ne peuvmt pas etre combindes par cet operateur logique. II 
s*ensuit que la modification frauduleuse de donn6es d'application pourrait s'm trouver 
facilit6e. 

D'autres inconv6ni«its du procede decrit dans le brevet FR 89 09734 
20 proviennent de i'utilisation d'un circuit logique k retard poss6dant des moyens a retard 
et formant boucle entre les sorties de donn6es et les entries d'adresses d'une memoire 
secrete. 

En premier lieu, le fait que la mimoire soit secrete n'est pas toujours 
indispensable. Bim qu'il existe des attaques contre les algorithmes cryptographiques qui 
25 tirent profit de difauts que peuvent presenter de telles m&noires, tels que des defauts 
lies k leur non-lin6arit6, et si ces memoires sont spicifiies de telle sorte k ne pas 
presenter ces difeuts, alors elles peuvent Stre rendues publiques sans compromettre la 
securite de I'algorithme dans son ensemble. Cependant et bien que cela ne soit pas 
nicessaire, I'utilisateur peut choisir de les maintenir secretes afin d'augmenter la 

30 sicuriti de Talgorithme. 

En second lieu, I'utilisation d'un circuit logique k retard fonnant boucle entre les 
sorties de donnies et les entries d'adresses de la mimoire est tris restrictive. Cela 
exclut en particulier que la sortie du circuit cable soit de longueur (exprimie en bits) 
tres ilevee, car la taille de la mimoire augmente exponentiellement avec cette longueur. 

35 Par exemple, si la sortie a une longueur de 4 bits, alors la mimoire occupe 64 bits. Mais 



2826531 



si la sortie a une longueur de 8 bits, alors la m&noire occupe 2 Kbit, taille tr^ 6Iev6e 
pour une puce k logique cablee de bas cout. Si la sortie a une longueur de 16 bits, alors 
la m6moire occupe 1Mbit, taille trop 61ev6e pour n'importe quelle puce i logique 
cabl6e. Toutefois la longueur de la sortie du circuit cable doit etre de longueur telle 
qu'un fraudeur qui essaierait d'en deviner la valeur au hasard n*ait qu'une chance 
n6gligeable de r^ussir. Si la longueur est de 4 bits, le fraudeur a une chance sur 2 4 la 
puissance 4, c'est-^-dire 16, ce qui represente une chance excessive dans presque toutes 
les applications. Si la longueur est de 8 bits, le fraudeur a une chance sur 256, ce qui 
reste excessif dans la plupart des applications. Ainsi, le precede decrit dans le brevet FR 
89 09734 ne pennet pas de satisfaire simultan6ment les contraintes techniques d'une 
puce k logique cabl6e et les contraintes de securit6 de la plupart des applications. 

La presente invention porte sur un proc6d6 cryptographique de protection 
centre la fraude d'une puce ^lectronique et sur un dispositif a puce 61ectronique, dans 
des transactions entre une application et la puce 61ectronique, plus particulierement 
adapt^s aux puces a logique cdblee et plus particuli^ement destines i mettre ea place 
un m^canisme d*authentification, qui soit d6pourvu des inconvenimts mentionn& ci- 
dessus, de mmtre k renforcer la solidite cryptographique du m6canisme 
d'authentification obtenu, et done rradre la cr^tion de clones plus ardue. 

A cette fin le proc6d6 a pour objet un proc6d6 cryptographique de protection 
contre la fraude d'une puce electronique, dans des transactions entre une application et 
la puce dlectronique, consistant h calculer dans la puce 61ectronique un certificat k partir 
de parametres d'entree, ledit proced6 consistant en outre : 

- k m^langer tout ou partie des parametres d' entree au moyen d'une fonction 
de melange et k foumir m sortie de la fonction de melange une donnte 

c' / * * * ' \ 

- a effectuer le changement d'etat dun automate k 6tats finis en le faisant 
passer d'un 6tat ancien k un etat nouveau selon une fonction dependant au 
moins de I'&at ancien et d'une valeur de la suite de bits {epej,...^^,...,^;^) , 

- k calculer le certificat au moyen d'une fonction de sortie ayant pour 
argument d'entree au moins un 6tat de T automate. 

Et rinvention a en outre pour objet un dispositif k puce Electronique permettant 
la mise en oeuvre d'un proc6d6 cryptographique de protection contre la fraude de la 
puce Electronique, dans des transactions entre une application et la puce Electronique, 
consistant k calculer par la puce Electronique un certificat k partir de paramEtres 
d*entrEe, ledit dispositif comprenant : 
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- des moyens de melange de tout ou partie des parametres d'entree pour foumir 
en sortie une donnee £' =(ei,e2,..^^,...,e)v) resultat du melange, 

* un automate a 6tats finis qui passe d*un etat ancien a un etat nouveau selon une 
fonction depmdant au moins de F^tat ancien et d'une valeur de la suite de bits 

- un moyen de sortie pour calculer le certificat k partir d'arguments d'entrte 
comprenant au moins un 6tat de 1' automate. 

Ainsi le proc6de et le dispositif se decomposent en une fonction dite de melange 
et en un automate. Les paramtoes d* entree du proced6 et du dispositif peuvent, dans le 
10 cas de la mise en ceuvre d'un m6canisme d'authentification, etre constitu6s d*une cl6 
secrete K, d'un alea R, de donnees d'application D, d'une adresse A, d'un identifiant I, 
etc. 

Les parametres d' entree du proc6d6 cryptographique et du dispositif sont traites 
dans la fonction de melange qui foumit en sortie une donn6e dependant de tout ou 
15 partie des parametres d'entr6e. La donn6e de sortie de la fonction de melange intervimt 
dans le changment d'etat de Tautomate k etats finis, dont au moins un etat, 
pref6rentiellement T^tat final, est utilisd pour calculer la valeur de sortie, appel6e 
certificat S. 

Du fiait de la fonction de melange, Tintervention d'un bit donne d'un parametre 
20 d'entr6e ne se limite plus exclusivement k Tinstant ou il est present^ en entree des 
moyens de mise m oeuvre du proc^d^, mais influe au contraire sur un grand nombre 
d'etapes posterieures k cet instant. Le principe de diffusion se trouve ainsi satis&it. 

De mani^re avantageuse, Tautomate permet d'obtenir des certificats de taille 
eiev^e (16, 32 voire 64 bits) sans pour autant avoir k stocker un nombre important de 
25 bits. En efifet, I'automate n'est pas n6cessairement constitue d'un simple circuit logique 
k retard formant boucle entre les sorties de donnees et les entries d'adresses dune 
m^moire. 

Le certificat obtenu par la mise en oeuvre d'un proc6de et d*un dispositif selon 
rinvration peut etre utilise aussi bien pour ^changer des cles secretes entre I'application 

30 et la puce, ou chiffrer des donnees 6cliang6es entre Tapplication et la puce, que pour 
I'authentification de la puce ou de Tapplication. II peut aussi etre interprets comme une 
signature electronique de tout ou partie des parametres d' entree. II peut encore etre 
interprets comme xme sSquence de bits pseudo-aleatoires et, en faisant varier au moins 
I'un des parametres d'entrSe, le procSdS de calcul du certificat devient alors un procSde 

35 de generation de bits pseudo-aieatoires. 



» 
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D'autres caract6ristiques et avantages de rinvention apparaitront lors de la 
description qui suit faite en regard de dessins annexes de modes particuliers de 
realisation donn6s k titre d'exemples non Umitatifs. 

La figure 1 est un sch&na d'un proced6 selon Tinvention. 
5 La figure 2 est un sch&[ia d*un exemple d'une fonction de melange. 

La figure 3 est un schema d\in exemple d'un automate h 6tats finis. 

La figure 4 est un schema qui illustre la mise en oeuvre d'un procdde selon 
rinvention. 

La figure 1 repr&ente schematiquement un proc6d6 selon rinvention de 
10 protection d'une puce electronique contre la firaude. Le proc6d6 consiste m differentes 
fonctions ci-apr6s decrites. 

Une premiere fonction 1 dite de melange consiste k melanger tout ou partie des 
param^tres d*entr6e (m=l i M), avec M 6gal au nombre de paramfetres, et a foumir 
en sortie une donn6e E^^{e[,e^,..£^,...,e^)y avec N 6gal au nombre de bits de la 
15 donnte de sortie. Chaque paramfetre d'entr6e comprend un certain nombre de bits. 
Les donn6es d'entr6e de la fonction de melange sont constitutes de tout ou partie des 
paramtoes d'entr6e . 

Un premier paramfitre d'entr6e E^ pent 6tre constitue d'une cl6 secrete K, 
stockte dans une zone protegee de la puce, c'est-a-dire dans une zone memoire de la 
20 puce qu'il ne soit pas possible de lire ni de modifier de Texterieur. Cette zone m6moire 
pent par exemple 6tre implantSe dans un registre ou dans une memoire. 

Un second param^tre d*entr6e E^ peut etre constitu6 de donnees D internes a la 
puce, c'est-i-dire stockees dans une memoire programmable (de type RAM, PROM, 
EPROM ou encore E2PR0M) de la puce. Ces donn6es peuvent etre de natures tres 
25 diverses, et peuvent 6tre inscrites lors de phases tres diffferentes de la vie de la puce, 
telles que la phase de fabrication de la puce, la phase de fabrication de Tobjet (carte, 
ticket, etc.) dans lequel la puce est ins6ree, la phase de personnalisation de cet objet par 
I'entite tmettrice, ou encore la phase d'utilisation de Tobjet par son dttenteur. 

Un troisi&ne parametre d'entrte £3 peut, dans le cas ou un param^tre d' entree 
30 est constitu6 de donntes D internes h la carte, etre constitue de Tadresse ou des 
adresses de la ou des zone-m&noire(s) de la puce dans laquelle ou lesquelles ces 
donntes D sont stock6es. 

Un quatrieme parametre d'entr6e E^ peut etre constitue de donn6es D' extemes 
k la puce, foumies k la puce prtalablement k la mise en oeuvre du proc6d6 
35 cryptographique, par exemple au d6but de la transaction avec Fapplication. 
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Un cinqui&ne paramfetre d'entrte peut 6tre constitue d'un alea R exteme k 
la puce, foumi k la puce pr&dablement a la mise en oeuvre du proc6d6 cryptographique 
par exemple au d6but de la transaction avec Tapplication, Cet al6a peut etre une valeur 
aleatoire, c'est-a-dire choisie au hasard, de taille suffisamment 61ev6e pour que la 

> 

5 probability de choisir deux valeurs egales soit tr^ faible. II peut aussi etre determine k 
partir d*une suite d'entiers cons6cutifs g6ner6s par Tapplication et la puce 61ectronique. 
II peut eicore etre determine k partir de caract6ristiques de temps, typiquement la date 
et riieure. Enfin, il peut etre une combinaison de tout ou partie des Elements pr6 cites. 
Un sixifeme param^tre d'entr6e peut 6tre constitu6 d'un al6a R* interne k la 

10 puce, foumi k la puce pr6alablement k la mise en oeuvre du proc6d6 cryptographique. 
Cet al6a peut etre determine k partir d'une valeur aleatoire, c'est-i-dire choisie au 
hasard, et de taille suffisamment 61ev6e pour que la probability de choisir deux valeurs 
egales soit tres faible. II peut aussi etre d6termine k partir d'une suite d'entiers 
cons6cutife g6n6:& par rext&ieur, typiquement I'application, et la puce 61ectromque. II 

15 peut encore Stre d6termin6 k partir de caract6ristiques de temps, typiquement la date et 
rheure, Enfin, il peut etre une combinaison de tout ou partie des elements pre cit6s. 

La liste des param^tres possibles n*est pas exhaustive. Uaccroissement du 
nombre de param^tres permet avantageusement d'augmenter la security du proc6de, 
toutefois cette augmentation est au detrimmt d*une implantation simple. 

20 Les donn6es d^entree de la fonction de melange, d6termin6es k partir des 

parametres d'entrte E^ , peuvent etre des objets math&natiques de nature quelconque, 
par exemple des bits, des chaihes de bits de longueur fixe ou variable, des nombres 
entiers, des nombres non entiers etc. II en est de meme de la donnee de sortie de la 
fonction de melange. Cepmdant, pour la commodite de la description du proc^d^, nous 

25 assimilerons cette sortie k une suite de bits £' =(ei,e2,..^l,...,e)^^) , ce qui n'est pas 
restrictif en pratique. 

La fonction de melange peut 6tre une fonction lineaire ou non-lin6aire des 

donnees d'entree. 

Un premier exemple de fonction 1 lin6aire illustr^ par la figure 2 consiste k 
30 efifectuer le produit scalaire entre les donn6es dentree. En supposant que les donnees 
d*entr6e sont d'une part une cl6 K constituee de J bits (Ki, K2,...,Kj), et d'autre part un 
al6a R et une donn6e D qui constituent un ensemble de J bits not6 (Zi,Z2,-..Zj), alors le 
premier bit de la donn6e de sortie de la fonction de melange peut 6tre d6fini comme 
etant le produit scalaire des deux donn6es ci-dessus d6crites. Ainsi, le premier bit de la 
35 donnee de sortie de la fonction de melange est 6gal au r&ultat d'un OU exclusif portant 



2826531 



sur les J bits obtenus en efFectuant pour tout j le produit Kj .Zj avec j=l k J. Selon 
Texemple d'implantation illustre par la figure 2, le produit Kj .Zj est obtenu en sortie 
d'une porte 4j logique ET avec j=l a J. Le OU exclusif, portant sur les J bits obtenus en 
efifectuant pour tout j le produit Kj .Zj, est decompose en un ensemble de portes Sjj+i 
5 OU exclusif avec j=l a J-1. Chaque porte 5^.^^.^, OU exclusif a deux entries et une sortie. 
Au moins une entree est la sortie d'une porte 4j logique ET, la seconde entree est soit la 
sortie d'une porte 5jj^^ OU exclusif, soit la sortie d'une porte 4j logique ET. La sortie e' 
de la porte 5y_,^ OU exclusif donne la valeur du premier bit de la donnte de sortie de la 
fonction MIX. 

10 Pour obtenir le deuxieme bit de la donnee de sortie, vme operation de rotation, 

d'une OU plusieurs positions, est efFectuee sur la cle KL Cette operation transforme la cle 
K en une donnee K\ Le deuxieme bit de la donnee de sortie de la fonction de melange 
pent etre d6fini comme etant le produit scalaire de la donn6e K' et de Tensemble de J 
bits (Zi,Z2, . . .Zj). Le deuxieme bit est pr&ent en sortie e' de la porte 5j_^^ OU exclusif. 

15 Pour obtenir les bits suivants de la donnfe de sortie, il faut r6it6rer, pour chaque 

bit, les operations d6crites pour Tobtention du deuxi^e bit. 

Beaucoup de variantes sont possibles i partir de la fonction 1 lineaire ainsi 
d6finie. En particulier, il est possible d'6viter que les bits de la donn6e de sortie ne 
rentrent dans un cycle de r^etition, dfl au fait qu'apres J rotations la cl6 K se retrouve 

20 dans son 6tat initial. Si I est le nombre de bits de sortie souhait6, alors il est possible 
d'utilis^ une cl6 K de I+J bits : (Ki, K2,...,Ki+j). Le premier bit de la donnee de sortie 
de la fonction de m61ange peut etre defini comme 6tant le produit scalaire des donn^es 
(Ki, K2,...,Kj) et (Zi,Z2,...Z,). Le second bit de la donn6e de sortie peut 6tre defini 
comme 6tant le produit scalaire des donn6es (K2, K3,...,Kj+i) et (Zi,Z2,...Zj). Et ainsi 

25 de suite jusqu'au derxnex bit de la donn6e de sortie qui peut etre defini comme etant le 
produit scalaire des vecteurs (Ki+i, Ki+2,...,Kj+i) et (Zi,Z2,...Zj). 

Cette variante est avantageuse en ce qu'il existe un mode d*implantation qui 
dispense de relire la cl6 K i chaque fois qu'un bit de sortie est requis. Ce mode repose 
sur un calcul parallele des bits de sortie. Pour cela, il faut disposer de deux registres 

30 particuliers de I bits, le premier initialise avec le vecteur (Ki, K2,...,Ki) et le second 
avec le vecteur nul (0,0,..., 0). Si Zi = 0, le contenu du second registre reste nul. Si Zi = 
1 , le contenu du premier registre constitue le nouveau contenu du second registre. Dans 
les deux caSj le nouveau contenu du premier registre est (K2, K3,. . .,Ki+i). Cette demifere 
operation est realisee en effectuant un d^calage gauche d'une position, puis en 

35 insurant le nouveau bit Ki+i, Si Z2 = 0, le contenu du second registre n'est pas modifi6. 
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Si Za = 1, le nouveau contenu du second registre est le resultat d'un OU exclusif des 
contmus du premier et du second registres. Dans les deux cas, le nouveau contenu du 
pronier r^istre est (K3, K4,...,Ki+2), contenu obtenu a Taide d'un d6calage puis de 
I'insertion du nouveau bit K1+2. Et ainsi de suite. Apres lecture des J bits (Zi,Z2j...Zj), 
5 les I bits de sortie de la fonction de melange sont definis comme etant les I bits contenus 

dans le second registre. 

Un second example d'une fonction 1 lineaire consiste k utiliser un registre k 
decalage k retroaction lineaire dans lequel les bits des parametres d'entree sont entr& 
successivement et influent sur T^tat initial du registre et/ou sur la valeur des bits de 

10 retroaction, Le terme de registre k decalage a retroaction Uneaire perturbe est parfois 
utilise pour d&igner un registre dans lequel des donnees sont inject6es en cours de 
fonctionnement du registre. La valeur de sortie E' peut alors fitre constituee d'un ou 
plusieurs bits extraits du contenu de ce registre. 

Un exemple d'une fonction 1 non-lineaire consiste a utiliser un registre k 

15 decalage k retroaction non lineaire, dans lequel les bits des parametres d'entree sont 
entres successivement. La valeur de sortie S' peut Stre constituee d'un ou plusieurs bits 
extraits du contenu de ce registre. 

Une deuxieme fonction 2 consiste k effectuer le changement d*etat d'un 
automate a etats finis en le &isant passer d'un etat ancien k un etat nouveau en prenant 

20 en compte au moins I'etat ancien et une valeur de la suite de bits 
^ =(^i\^i,. .^i.v.M^iv), valeur qui correspond k un bit ou a plusieurs bits pris parmi 
Fensemble des bits de la donnee £' . Selon des modes particuliers de mise ca oeuvre, 
cette fonction peut en outre prendre en compte tout ou partie des parametres d'entree 
En,. Uetat initial de Tautomate peut etre determine en fonction de tout ou partie de E' 

25 et de £„,. 

Un premier exemple d'automate, illustre par la figure 3, consiste k utiliser un 
circuit booieen. C'est-a-dire un circuit qui, par exemple k un vecteur de k+1 bits 
(Ai,A2,...Aic+i) associe un vecteur de k bits (A'i,A'2,...A'k), ou chaque bit A'i est 
obtenu k partir des bits (Ai,A2,...Ak+i) k Taide d'operations eiementaires telles que OU 
30 exclusif, OU (inclusif), ET, NON et oil (Ai,A2,...Ak) repr6sente retat ancien de 
Tautomate. Par exemple, dans un cas ou k=8, les sorties de I'automate sont donnees par 
les relations suivantes dans lesquelles A9 = e' , ou e' designe Tun quelconque des bits 

de E ^ (^|,^2)**'^fi>"*)^iv) * 

A', = (NON Aj) ET A2 OU e' ; A'z = Aj OU ((NON Aj) ET (Ai OU exclusif 

35 A,)) ; A'} = A« ET A2 ; A'4 = A, OU exclusif A, OU exclusif (NON e') ; A's = Aj OU 
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A7 ; A'6 = (NON Aj) ET Ai OU Exclusif A, ; A', = Ac OU A7 ; A'g = (NON e'). Selon 
rimplantation schematis6e par la figure 3, A' i est la sortie d'une porta OU 6 dont una 
premiere entree correspond k e' et une seconde entr6e est la sortie d'une porte ET 7. La 
porte ET 7 a pour premiere entr6e A2 et pour seconde mtrte la sortie d'un inverseur 8 
dont Tentree est A3. A'2 est la sortie d'une porte OU 9 dont une premiere antrte est A5 
et dont une seconde entrte est la sortie d\ine porte ET 10. La porte ET 10 a pour 
premiere mtr6e la sortie d'un inverseur 1 1 et pour seconde entr6e la sortie d'une porte 
OU exclusif 12. L'entr6e de I'inverseur 11 est As. La porte OU axclusif 12 a pour 
premiere entree Ai et pour seconde entrfe A4. A'3 est la sortie d\uie porte ET 13 dont 
une premiere entr6e est Ac et une seconde entree est A2. A*4 est la sortie d*une porte 
OU exclusif 14 dont una premiere entrte est Ai, une deuxi^me entree est A4 et une 
troisifeme entr6e est la sortie d'un inverseur 15 dont Tentrte est e'. A'5 est la sortie d'une 
porte OU 16 dont une premifere entree est A3 et dont la seconde entree est A7. A\ est la 
sortie d'une porte OU exclusif 17 dont une premise entree est Aj et dont une seconde 
entrte est la sortie d'une porte ET 18. La porte ET 18 a pour premise entr6e Ai et 
pour seconde entree la sortie d'un inverseur 19 dont I'entrte est A5. A'? est la sortie 
d\me porte OU 20 dont une premiere mtree est A6 et une seconde entree est A?. A'g 
est la sortie d'un inverseur 21 dont I'entrte est e'. Chaque bit Ap est la sortie d'une 
bascule dont r«itr6e est le bit Ap', avec p=l a k. 

Selon I'exemple, Tautomate possede un etat interne de k bits (Ai,A2,...Ak) et 
pr&mte en sortie un nouvel 6tat (A'i,A'2,...A*k), k chaque fois qu'un nouveau vecteur 
(Ai,A2,...Ak, e') est prfaent en entree du circuit bool6en, le nouveau vecteur 6tant 
constitue de I'^tat interne et de la sortie de la fonction de melange. 

Un second exemple d'automate consiste a utiliser des transformations de bits 
ddfinies par des tableaux de nombres. Toujours dans le cas k=8, il est par exemple 
possible de diviser Toctet (AiAi-.-Ag) en deux quartets (Ai,A2,A3,A4) et 
(A5,A6,A7,A8), puis d'appUquer k chaque quartet une transformation T si le bit de sortie 
e' vaut z6ro, ou une transformation U si e' vaut un. La transformation T est definie par 
un tableau qui associe k chaque valeur de quartet (a,b,c,d) une valeur de quartet 
(a',b',c',d'). De meme pour U. 

Lorsque toutes les valeurs d'^tr^e ont et& prises en compte, Tautomate est 

dans un certain 6tat final (Fi,F2,.. .Fk). 

Une troisifeme fonction 3, dite de sortie, ayant pour arguments d'entr6e au moins 
un 6tat da Tautomate, consiste k calculer un certificat S. L'implantation la plus simple 
est obtmue en prenant en compte uniquement r6tat final de I'automate. Toutefois, la 
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fonction peut prendre en compte de maniere complementaire des 6tats anterieurs de 
Tautomate. Pref6rentiellement, la fonction de sortie est la fonction identite appliqu6e h 
Fetat final de Tautomate. En d'autres tennes, le certificat S est 6gal h la donnte de k bits 
(Fi,F2,...Fk). Selon un autre mode de r6alisation, la fonction de sortie est une fonction 

5 de troncature, Le certificat S peut etre verifie par toute application ayant connaissance 
de la cl6 secrete K de la puce. Pour cela, toutes les donn6es non connues de 
Tapplication mais entrant dans le calcul du certificat, par exemple des donn6es internes 
a la puce, doivent etre communiqu^es par la puce k Tapplication, pr6alablement, 
simultan&nent ou posterieurement k Tenvoi du certificat. L' application met m oeuvre 

10 exactement le meme precede cryptographique que celui mis en oeuvre par la puce en 
utilisant les memes donnees d'entrfe que celles utilisees par la puce, et obtimt un 
certificat S\ Uapplication compare le certificat S' qu'elle a calcul6 k celui S calcule par 
la puce. S'il y a 6galit6, la puce est consider6e comme authentique par Tapplication. La 
v&ification du certificat calculi par Fapplication peut etre effectu6e par ailleurs par la 

1 5 puce pour permettre k cette demise d*authentifi^ Fapplication. 

La figure 4 permet d'illustrer la mise en oeuvre d'un procede selon Tinvention, 
lors d\me transaction entre une puce dectronique et une application. 

La puce 23 6Iectronique est heberg6e par un support 24 qui consiste par 
exemple en une carte prepay6e, ai un ticket 61ectronique, m une carte bancaire, etc. 

20 Uapplication 25 se d6roule en totality ou en partie dans un lecteur 26 de puce 

61ectromque. Ce lecteur peut etre un lecteur sans contact ou un lecteur avec contact 
comme illustre par la figure 4. 

Lorsque Tapplication consiste en une application d'authentification, la seule 
pr^ence de la carte dans le lecteur peut activer ce lecteur et declencher Tapplication. 

25 Uapplication soUicite la puce pour que cette demi^re s'authentifie en lui foumissant un 
certificat S calcul6 27 selon un proced6 selon Tinvention. En parall^le, Tapplication 
calcule 28 selon le meme proc6d6 un certificat k partir des memes parametres d'entree 
que la puce. A Tissue du calcul, la puce foumit son resultat k Tapplication qui le 
compare avec son propre resultat. Lorsque les resultats sont identiques, 

30 Tauthentification de la puce est correcte et Tapplication en informe la puce. Les 
parametres d'entree peuvent etre determines de manifere definitive avant toute utilisation 
de la puce 61ectronique, implant6e dans la puce et connue de Tapplication. lis peuvent 
6ventuellement etre r6actualis6s apr& authentification de la carte selon un processus 
d6termin6. La r6actualisation peut concemer la totality des parametres ou seulement 

35 certains d'entre eux ou encore Fapplication peut foumir un nouveau param^tre comme 
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un alea R d^tomin^ de maniere aleatoire ou determine par la valeur d'un compteur, 
dHme horloge, d^une date, etc... 



14 
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REVENDICATIONS 

1. Procede cryptographique de protection contre la fraude d'une puce (23) 
electronique, dans des transactions entre une application (25) et la puce 
electronique, consistant k calculer dans la puce Electronique un certificat (S) a partir 
5 de parametres d' entree (£„ ), caract^rise en ce qu'il consiste en outre : 

• k milanger (1) tout ou partie des parametres d*entr6e ( ) au moyen d\me 

fonction de melange et k foumir en sortie de la fonction de melange une donnte 

I?' / ' ' * ' \ 

- k efFectuer (2) le changement d'etat d*un automate k 6tats finis en le feisant 
10 passer d'un 6tat ancien k un etat nouveau selon une fonction dependant au 

moins de TEtat ancien et d*une valeur de la suite de bits (epe2,...e„,.- »^Ar) > 

• a calculer (3) le certificat (S) au moym d\me fonction de sortie ayant pour 
argument d'entree au moins un 6tat de Tautomate. 

1 5 2. ProcedE selon la revendication 1 , dans lequel Tun des parametres d'entree ( ) est 
constitu6 d'une cl6 secrete K, stock6e dans une zone-m6moire protegee de la puce 
(23). 

3. Proced6 selon la revmdication 1, dans lequel un premier param^tre d'entree (£„) 
20 est constitu6 de donn^ (D) internes k la puce (23). 

4. Proc6d6 selon la revendication 3, dans lequel un deuxi&ne paramfetre d'mtrte ( ) 
est constituE de Tadresse de ces donn6es (D) dans une zone-m6moire de la puce 
(23). 



25 



5. Proc6d6 selon la reveadication 1, dans lequel I'un des parametres d'entr6e (£„ ) est 
constitue de donn6es (D') extemes k la puce (23) et foumies k la puce (23) 
pr^alablemeot k la mise en osuvre du precede. 



30 



6. 



Proc&i6 selon la revendication 1, dans lequel I'un des parametres d'entr6e (£„ ) est 
constitu6 d'un al6a (R) extCToe k la puce (23) et foumi k la puce (23) prealablement 
k la mise en oeuvre du proc6d6. 
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7. Precede selon la revendication 1, dans lequel Tun des param^tres d'entrte ( ) est 
constitu6 d'un al6a (R') interne a la puce (23) et foumi k I'exterieur pr^alablement k 
la mise en oeuvre du proc^d6. 

8. Proced6 selon Tune des revendications 6 et 7, dans lequel I'alda (R, R') est une 
valeur choisie au hasard. 

9. Proced6 selon Tune des rev^idications 6 et 7, dans lequel Talea (R, R') est une 
valeur d'un compteur. 

10. Precede selon Tune des revendications 6 et 7, dans lequel Tal^a (R, R') est une 
date-heure. 

U.Procede selon la revendication 1, dans lequel la fonction de melange est une 
fonction lineaire des parametres d' entree {E^ ). 

12. Proc6d6 selon la revendication 1 1, dans lequel la fonction de melange effectue un 
produit scalaire de tout ou partie des parametres d'entree ( ). 

13. Proced6 selon la revendication 1, dans lequel la fonction de Tautomate prend en 
compte en entree tout ou partie des parametres d'entr^e ( E^ ). 

14. Proc6d6 selon la revendication 1, dans lequel la fonction de sortie est la fonction 
identity ayant pour argument d*entree T^tat nouveau de Tautomate. 

15. Proc6d6 selon la revendication 1, dans lequel la fonction de sortie est une fonction 
de troncature ayant pour argummt tfmtree Tetat nouveau de Tautomate. 

16. Precede d*authentification de la puce par Tapplication selon la revendication 1, dans 
lequel I'application (25) compare le certificat (S) calculi (27) par la puce 
61ectromque a un certificat (S) qu'elle calcule (28) de la meme maniere que la puce 
(23) 61ectronique. 
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1 7. Proced6 d'authentification de rapplication par la puce selon la revendication 1 , dans 
lequel la puce 61ectronique (23) compare le certificat (S) qu'elle calcule (27) k un 
certificat (S*) calculi (28) de la m6me mani^re par Tapplication (25). 

18. Utilisation dHm certificat i des fins d'echange de cl6 secrete entre une puce et une 
application caract6ris6e en ce que le certificat est obtenu par la mise en oeuvre d'un 
proc6d6 selon Tune des revendications 1^15. 

19. Utilisation d'un certificat i des fins de chiflfrement entre une puce et une application 
caract6is6e en ce que le certificat est obtenu par la mise en oeuvre d'un proced6 
selon I'une des revendications 1 ^ IS. 

20. Utilisation d'un certificat i des fins de signature 61ectronique de tout ou partie de 
paramtoes d'entrte (E^) caracteriste en ce que le certificat est obtenu par la mise 
en oeuvre d*un proc6de prenant en compte les parametres d'entree (E^) selon Tune 
des revendications 1 k 15. 

21. Utilisation d'un certificat comme sequence de bits pseudo-al6atoires caracteris.6e en 
ce que le certificat est obtenu par la mise en oeuvre d'un procede selon Time des 
revmdications 1 ^ IS. 

22. Dispositif (24) a puce (23) 61ectronique permettant la mise en oeuvre d'un proc6d6 
cryptographique de protection contre la fi-aude de la puce 61ectronique, dans des 
transactions entre une application (25) et la puce 61ectronique, consistant a calculer 
(27) dans la puce electronique un certificat (S) k partir de parametres d'entree 
(E^ ), caract6ris6 en ce qu'il comprend : 

- des moyras de melange de tout ou partie des paramtoes d'entree (£„) pour 
foumir en sortie une donnee E* = (^i\e2»-^l>->^/v)^^^^t^t du melange, 

- un automate k 6tats finis qui passe dun 6tat ancien k un etat nouveau selon une 

fonction d6pendant au moins de Tetat ancien et d'une valeur de la suite de bits 
. . . . 

- un moyen de sortie pour calculer le certificat (S) k partir d'arguments d*entr6e 
comprenant au moins un 6tat de Tautomate. 
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23. Dispositif (24) k puce 61ectronique selon la revendication 22, dans lequel les moyens 
de m61ange comprennent un registre k d6calage k retroaction lin6aire, dans lequel 
les bits des paramfetres d'entr6e sont entr^s successivement et influent sur 
rinitialisation du registre et/ou sur la valeur des bits de retroaction, pour m61anger 

5 tout ou partie des parametres d'entr6e et foumir en sortie du registre la 

donn6e E* =(6i,e2>--^ii'"-'^A^)' 

24. Dispositif (24) k puce 61ectronique selon la revradication 22, dans lequel les moyens 
de melange comprennent un registre k d6calage k retroaction non lineaire, dans 

10 lequel les bits des parametres d'entree sont entres successivement et influent sur 

rinitialisation du registre et/ou sur la valeur des bits de retroaction, pour meianger 
tout ou partie des parametres d' entree (E^) et foumir en sortie du registre la 
donnee ^ =(^p^29-'^ii>' ^>^^)- 

15 25. Dispositif (24) k puce selon la revendication 22, dans lequel Tautomate comprend un 
circuit booieen. 

26. Dispositif (24) k puce selon la revendication 22, dans lequel Tautomate comprend un 
circuit formant boucle entre les sorties et les entrees d'adresses d'mie ou plusieurs 

20 memoires. 

27, Carte prepayee comportant un dispositif k puce eiectronique selon Tune des 
revendications 22 ^ 26. 

25 28. Ticket comportant un dispositif k puce eiectronique selon Tune des revendications 

22 k 26. 

29. Borne d'acces a un service public comportant un dispositif selon I'une des 
revendications 22 a 26. 

30 

30. Terminal de paiement eiectronique comportant un dispositif selon Tune des 
revendications 22 a 26. 
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